تمت ملاحظة الجهات الفاعلة المرتبطة بالتهديد المرتبطين بعصابة برنامج الفدية التابع لـ Vice Society باستخدام أداة مصممة خصيصًا تستند إلى PowerShell للتنقل تحت الرادار وأتمتة عملية استخراج البيانات من الشبكات المخترقة.
"الجهات الفاعلة في التهديد (TAs) التي تستخدم أساليب استخراج البيانات المضمنة مثل [العيش من الثنائيات البرية والنصوص] تلغي الحاجة إلى جلب أدوات خارجية قد يتم وضع علامة عليها بواسطة برامج الأمان و / أو آليات الكشف عن الأمان المستندة إلى الإنسان ،" Palo قال الباحث ريان تشابمان في وحدة شبكات ألتو 42 .
"يمكن أن تختبئ هذه الأساليب أيضًا في بيئة التشغيل العامة ، مما يوفر التخريب للجهة الفاعلة المهددة."
Vice Society ، التي تتبعها Microsoft تحت اسم DEV-0832 ، هي مجموعة قرصنة تركز على الابتزاز ظهرت على الساحة في مايو 2021. ومن المعروف أنها تعتمد على ثنائيات برامج الفدية التي يتم بيعها على المجرمين تحت الأرض لتحقيق أهدافها.
في كانون الأول (ديسمبر) 2022 ، قام SentinelOne بتفصيل استخدام المجموعة لمتغير برامج الفدية ، المسمى PolyVice ، والذي يقوم بتنفيذ مخطط تشفير هجين يجمع بين التشفير غير المتماثل والمتماثل لتشفير الملفات بشكل آمن.
يعمل البرنامج النصي PowerShell الذي تم اكتشافه بواسطة الوحدة 42 (w1.ps1) من خلال تحديد محركات الأقراص المثبتة على النظام ، ثم البحث بشكل متكرر من خلال كل من أدلة الجذر لتسهيل استخراج البيانات عبر HTTP.
تستخدم الأداة أيضًا معايير الاستبعاد لتصفية ملفات النظام والنسخ الاحتياطية والمجلدات التي تشير إلى متصفحات الويب بالإضافة إلى حلول الأمان من Symantec و ESET و Sophos. قالت شركة الأمن السيبراني إن التصميم العام للأداة يوضح "المستوى المهني للترميز".
يوضح اكتشاف البرنامج النصي لاستخراج البيانات التهديد المستمر للابتزاز المزدوج في مشهد برامج الفدية. كما أنه بمثابة تذكير للمؤسسات بإعطاء الأولوية للحماية الأمنية القوية والبقاء متيقظًا ضد التهديدات المتطورة.
قال تشابمان: "البرنامج النصي PowerShell لاستخراج البيانات التابع لنائب المجتمع هو أداة بسيطة لاستخراج البيانات". "يتم استخدام المعالجة المتعددة ووضع قائمة الانتظار للتأكد من أن البرنامج النصي لا يستهلك الكثير من موارد النظام."
"ومع ذلك ، فإن تركيز البرنامج النصي على الملفات التي يزيد حجمها عن 10 كيلوبايت مع امتدادات الملفات وفي الدلائل التي تلبي قائمة التضمين الخاصة به يعني أن البرنامج النصي لن يقوم بسحب البيانات التي لا تتناسب مع هذا الوصف."